Monitorare l'utilizzo di EKM

Puoi utilizzare Cloud Monitoring per monitorare la connessione al gestore di chiavi esterno (EKM). Le seguenti metriche possono aiutarti a comprendere l'utilizzo di EKM:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Questa pagina mostra come creare una dashboard per monitorare le metriche correlate alle chiavi Cloud EKM e alla connessione al gestore di chiavi esterno, come i conteggi delle richieste e le latenze. Per saperne di più su queste metriche, consulta la pagina relativa alle metriche di Cloud KMS . Per saperne di più sulla procedura di creazione della dashboard descritta nelle sezioni seguenti, consulta Gestire le dashboard tramite l'API.

Prima di iniziare

I passaggi descritti in questa pagina presuppongono quanto segue:

• Hai già configurato Cloud EKM in un progetto, inclusa una connessione EKM e una o più chiavi esterne.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare dashboard utilizzando gcloud CLI, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

• Editor di configurazione della dashboard di Monitoring (roles/monitoring.dashboardEditor)
• Consumer di Service Usage (roles/serviceusage.serviceUsageConsumer)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per creare dashboard utilizzando gcloud CLI. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare dashboard utilizzando gcloud CLI sono necessarie le seguenti autorizzazioni:

• monitoring.dashboards.create
• monitoring.dashboards.delete
• monitoring.dashboards.update
• serviceusage.services.use

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Creare una dashboard per monitorare EKM

Per monitorare lo stato di EKM, crea una dashboard che monitori il conteggio delle richieste e le latenze:

1. Scarica la configurazione della dashboard: ekm-dashboard.json.

2. Crea una dashboard personalizzata con il file di configurazione eseguendo il seguente comando:

   gcloud monitoring dashboards create \
   --config-from-file=ekm-dashboard.json

Visualizzare la dashboard EKM

1. Nella Google Cloud console, vai alla pagina Monitoring o utilizza il pulsante seguente:

   Vai a Monitoring

2. Seleziona Risorse > Dashboard e visualizza la dashboard denominata Cloud KMS EKM.

Creare un criterio di avviso per le metriche EKM

Completa i seguenti passaggi utilizzando gcloud CLI:

1. Seleziona un canale di notifica per ricevere avvisi sulle metriche EKM.

   • Per utilizzare un canale di notifica esistente, visualizza prima i canali:

     gcloud beta monitoring channels list
     

     Scegli un canale dall'elenco. Prendi nota dell'ID del canale di notifica, ti servirà più avanti.

   • Per utilizzare un nuovo canale di notifica, crealo utilizzando un indirizzo email:

     gcloud beta monitoring channels create \
     --display-name="Notification channel for EKM latency alert" \
     --description="This notification channel receives EKM latency metric alerts" \
     --type=email \
     --channel-labels=email_address=NOTIFICATION_EMAIL
     

     Se l'operazione va a buon fine, questo comando restituisce il nome del nuovo canale. Prendi nota dell'ID canale di notifica, ti servirà più avanti. L'output è simile al seguente:

     Created notification channel [projects/PROJECT_ID/notificationChannels/NOTIFICATION_CHANNEL_ID]
     

2. Crea una criterio di avviso utilizzando il monitoring policies create comando:

       gcloud monitoring policies create \
           --notification-channels=NOTIFICATION_CHANNEL_ID \
           --aggregation=' {"alignmentPeriod": "60s","perSeriesAligner": "ALIGN_PERCENTILE_99"}' \
           --condition-display-name="EKM Request Latency > 150ms" \
           --condition-filter='resource.type="cloudkms.googleapis.com/Project"
                               metric.type="cloudkms.googleapis.com/ekm/external/request_latencies"
                               metric.labels.ekm_service_region="LOCATION"
                               metric.labels.method="LABEL_METHOD"' \
           --duration="0s" \
           --if="> 150" \
           --display-name="EKM metric latency alert" \
           --trigger-count=1 \
           --combiner='AND'
   

   Sostituisci quanto segue:

   • NOTIFICATION_CHANNEL_ID: l'ID del canale di notifica.
   • LOCATION: la regione per la quale vuoi ricevere avvisi su questa metrica. Se vuoi ricevere avvisi indipendentemente dalla regione, ometti metric.labels.ekm_service_region.
   • LABEL_METHOD: l'etichetta method per la quale vuoi ricevere avvisi, ad esempio wrap, unwrap, asymmetricSign, checkCryptoSpacePermissions, createKey, getInfo o getPublicKey. Puoi utilizzare Esplora metriche per esplorare le etichette delle metriche.

Passaggi successivi

• Esplora i dati in varie dimensioni delle metriche utilizzando Esplora metriche.
• (Facoltativo) Crea criteri di avviso.